El 80% de los principales eCommerce deja a los consumidores en riesgo de fraude por email durante este Black Friday

Un total de 16 de las 20 principales tiendas online en España no bloquea activamente la posibilidad de que lleguen correos fraudulentos a sus usuarios

Proofpoint, compañía líder en ciberseguridad y cumplimiento normativo, ha dado a conocer los resultados de una investigación que ha identificado que el 25% de los 20 principales retailers online que operan en España no ha implementado ningún protocolo de seguridad DMARC, lo que les pone en riesgo de suplantación de identidad en fraudes por correo electrónico por parte de cibercriminales. Y lo que es más preocupante, solo el 20% ha implementado el nivel más estricto y recomendable de protección DMARC, denominado “Reject”, el cual bloquea realmente los emails fraudulentos para que no lleguen a su destino objetivo. Esto deja a los clientes del otro 80% de los 20 principales retailers online en España expuesto a posibles fraudes por correo electrónico utilizando los dominios de las principales tiendas online.

En un año en el que la pandemia ha impulsado definitivamente el comercio electrónico como primer canal de compra[1] y con el Black Friday a la vuelta de la esquina, se espera que el tráfico de las tiendas online alcance sus mayores cifras del año, y todo tipo de usuarios buscarán las mejores ofertas tanto en Internet como en la bandeja de entrada de sus buzones de correo. De hecho, a raíz de la pandemia, los españoles (67%) se han convertido en los europeos que más han incrementado sus compras online2. Esta circunstancia podría dar pie a los cibercriminales a anticiparse al envío de comunicaciones por email de los comercios para tratar de engañar a los compradores con mensajes fraudulentos.

Los atacantes suelen emplear la técnica de suplantación de dominios para hacerse pasar por marcas conocidas por el usuario, enviando correos electrónicos desde una dirección supuestamente legítima. Estos emails están diseñados con la intención de engañar a los usuarios para que hagan clic en los enlaces que aparecen en los mensajes, o bien compartan datos personales que puedan utilizarse después para robar dinero o credenciales de forma que sea casi imposible para la víctima discernir si el remitente de dicho correo es falso o no.

«Es evidente que estos ataques dirigidos tratan de llegar siempre al mayor número posible de víctimas aprovechándose de algún evento o tema de interés popular como es el caso del Black Friday, que implica además a la industria del retail que sigue siendo un objetivo persistente por parte de los atacantes”, subraya Fernando Anaya, Country Manager de Proofpoint. “A día de hoy, el correo electrónico se mantiene como el vector de amenaza más empleado y la gravedad del asunto es tal que, si una tienda online no ha desplegado DMARC, no es posible garantizar al 100% que el email recibido por el usuario proceda de dicha compañía y que su identidad no haya sido suplantada”.

Entre las principales conclusiones de la investigación destacan:

• El 75% de los 20 principales retailers online en España ha publicado un registro DMARC.

• A pesar de ello, solo el 20% ha implementado el nivel más estricto y recomendado de DMARC que bloquea activamente los correos antes de que lleguen a sus clientes. Esto significa que el 80% de las tiendas online está exponiendo a sus clientes a la posibilidad de recibir correos fraudulentos.

• La adopción en España del nivel de protección DMARC en el sector de ecommerce es ligeramente superior al porcentaje registrado en Europa, donde el 60% del top 20 europeo de sitios de ecommerce tiene implementado DMARC. Únicamente el 20% de ellos cuenta con el nivel más estricto de DMARC, por lo que un 80% de los principales retailers online europeos no se libra del riesgo de que sus consumidores reciban un email falso en su nombre.

“Las empresas deben implementar protocolos de autenticación de email efectivos como DMARC a fin de evitar que los ciberdelincuentes accedan a datos personales y bancarios de los usuarios”, prosigue Anaya. “En el caso de los consumidores, es importante recordarles que deben adoptar medidas de seguridad básicas siempre y especialmente en estos días en los que optamos cada vez más por las compras a través de internet y en los que no es difícil bajar la guardia ante posibles fraudes”.

Para muchas organizaciones, el camino para reducir el riesgo de fraude por correo electrónico está pavimentado con DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocolo de correo electrónico que se adopta globalmente como el control de pasaportes del mundo de la seguridad del correo. Este protocolo verifica que el supuesto dominio del remitente no haya sido suplantado. La verificación DMARC se basa en los estándares DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework) establecidos para garantizar que el correo electrónico no esté falseando el dominio. Esta autenticación protege a empleados, clientes y partners frente a ciberdelincuentes que buscan hacerse pasar por un dominio fiable.

Proofpoint recomienda a los usuarios online seguir los siguientes consejos para mantenerse a salvo mientras buscan las mejores ofertas de la temporada:

• Usa contraseñas robustas. No reutilices la misma contraseña varias veces. Plantéate utilizar un gestor de contraseñas para mejorar tu experiencia online, a la vez que te mantienes seguro.

• Evita las WiFis abiertas. Las redes WiFi de acceso libre o gratuito no son seguras, ya que los cibercriminales pueden hacerse con datos transferidos a través de conexiones desprotegidas, incluyendo números de tarjeta de crédito, contraseñas, información bancaria y más.

• Cuidado con las “webs parecidas”. Los atacantes crean páginas web parecidas que imitan a las de marcas conocidas. Estas webs fraudulentas pueden vender productos falsificados (o inexistentes), estar infectadas con malware, o bien robar dinero o credenciales.

• Evita potenciales ataques de phishing y smishing. Los correos de phishing llevan a webs no seguras que recopilan datos personales, como credenciales de acceso o datos de tarjetas de crédito. Mantente en alerta también a los intentos de phishing por SMS, también conocidos como smishing, o a posibles mensajes a través de redes sociales.

• No hagas clic en enlaces. Ve directamente a la página de la oferta anunciada escribiendo su dirección web directamente en el navegador. Si se trata de códigos promocionales especiales, escríbelos y comprueba si son legítimos.

• Verifica antes de comprar. Los anuncios, webs y apps fraudulentas pueden ser difíciles de identificar. Cuando descargues una nueva app o visites una web no habitual, dedica algo de tiempo a leer reseñas sobre la misma, así como cualquier queja de los usuarios.

Cookie	Tipo	Duración	Descripción
_ga	third party	2 años	Se usa para distinguir a los usuarios.
_gid	third party	24 horas	Se usa para distinguir a los usuarios.

El 80% de los principales eCommerce deja a los consumidores en riesgo de fraude por email durante este Black Friday

Un total de 16 de las 20 principales tiendas online en España no bloquea activamente la posibilidad de que lleguen correos fraudulentos a sus usuarios

Entre las principales conclusiones de la investigación destacan:

Proofpoint recomienda a los usuarios online seguir los siguientes consejos para mantenerse a salvo mientras buscan las mejores ofertas de la temporada:

Warner Music Spain lanza su primera tienda oficial en España con Shopify

Así ha evolucionado el sector minorista gracias al eCommerce

El 21% de los españoles realiza compras en línea de forma semanal

Amazon ha modificado su política de devoluciones